摘要:近些年来,随着电力系统的进步和发展,电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。但作为不少国家重要的“网络战场”,电力监控系统的安全问题显得越发突出,如何确保电力系统能足够安全、稳定地运行成为现阶段电力企业建设发展的主要研究对象。鉴于此,文章结合笔者工作经验,对基于电力通信网的电力调度数据网安全传输提出了一些建议,仅供参考。
关键词:电力通信网;电力调度;数据网;安全传输
引言
现阶段,随着社会生产力水平的不断提升,以电力资源为基础的各种基础设施的重要性逐渐被越来越多的人关注。电力调度数据网更是企业运转的核心,承担着电厂和网局之间的通信工作,是二者之间进行数据传输和业务往来的基础。在这种情况下,数据业务在传输过程中的安全性成为相关人员关注的重点问题。电力调度数据网的安全防护措施可以有效避免数据被恶意破坏,是电力系统工作人员在工作中重点优化的部分。
1电力调度数据网概述
(1)数据网应用电力二次系统是由各级电力监控系统和调度数据网等组成的复杂系统,安全保护的重点是确保电力闭环实时监控系统和调度数据网安全,最主要是对一些病毒以及黑客攻击等对系统的破坏进行防御,避免系统大面积停电事故发生。(2)主要风险电力调度数据网受到其业务内容及网络结构的影响,主要风险有:①调度数据网数据使用明文传输;②由于104通信规约易于识别解读,存在旁路控制风险;③传输数据遭到拦截或篡改;④由非法接入导致网络完整性破坏;⑤由窃听、伪造等导致信息泄露。有限公司针对调度数据网模型和相关的二次安全防护措施做出了规定。现阶段调度数据组网主要基于多协议标记交换的虚拟专用网(MPLS VPN)体系结构,采用边界网关协议(BGP)及开放最短路径优先协议(OSPF)。设计上采用了IP技术体制、分层网络结构、二级自治路由域、划分MPLS-VPN、IP认证加密等技术,具备了实时性、可靠性和安全性等特点。根据国家电网有限公司《电力二次系统安全防护规定》及相关配套文件,国家经贸委第30号令及电监会第5号令等文件,对电力二次系统安全防护提出的要求,国家电网有限公司制定了《全国电力二次系统安全防护总体方案》,核心内容概括为“安全分区、网络专用、横向隔离、纵向认证”16字方针。
2电力数据通信网安全防护现状分析
电力数据通信网是承载管理信息大区业务的网络。例如:数据通信网承载电网智能调度管理系统业务、视频会议、内网、IP多媒体业务等,业务种类繁多,关系企业正常生产运营。采用路由与交换设备组网,覆盖所辖各变电站,与各电厂互联互通、与系统内其他单位数据通信网互联互通。目前充分利用了路由交换设备本身所具备的安全防护功能,进行必要的安全配置。(1)充分利用路由协议认证技术,全网开放式最短路径优先协议开启信息–摘要算法链路认证,保证对端路由器的合法身份,降低被攻击的可能性;(2)开展接入用户的身份认证,实施IP与MAC地址的绑定,防范地址解析协议攻击;关闭未使用的物理端口。(3)加强路由协议认证,开展BGP邻居认证,在BGP邻居之间使用MD5认证或Keychain认证来降低被攻击的可能性。
3电力调度数据网安全防护的具体设计
3.1安全区域的划分
按照电力调度数据网安全设计基本原则,相关工作人员在具体措施上要对电力调度数据网的安全区域进行细致划分,将其分为生产大区和管理信息大区两个方面。两个大区的具体防护要求不尽相同,相关工作人员要根据实际情况建立防护标准,最终实现安全防护。
3.2风险评估
在安全防护技术中,风险评估是非常重要的一项技术,是对主机的风险泄露和通过网络远程监控其他主机风险漏洞的分析,风险评估系统的主要工作目标便是服务器、工作站和数据库等,利用网络安全监测装置扫描监控目标可能存在的风险隐患。并对其安全性和风险程度进行分析,确定系统网络信息是否安全,并对系统网络信息的安全性提出具体整改建议。在进行风险评估技术时,也经常会利用网络漏洞扫描方式。在信息安全防护过程中,风险评估主要是一种辅助手段,还需要利用VPN、防火墙比如氢检测的方式来完成信息安全防护工作。
3.3专网专用的建设
从互联网地址构架方面看,专用网络遵守的互联网规范为RFC1918和RFC4193,依照IP协议中应用的私有IP地址的网络。这些私有网络无法直接与互联网相连,往往需要使用特定的公网进行转发后才能够使用。因此,需要一个专门的光纤通道进行网络搭载,进而完成高效的数据传输。通过专网专用的方式能够最大限度地提升电力调度数据网的安全防护等级,这种与互联网间接相连的方式避免了网络被肆意破坏和攻击,从根源上提升了数据传输的效率。这种专网专用的方式虽然成本较高,但是对于电力调度数据安全性的保障非常明显,同时目的也非常明确。针对专网专用的设计,必须严格遵守电力系统相应的防护措施和国家的相应防护标准,在设计工作开始前向相关通信部门进行报备处理,最终实现电力调度数据网的自动化管理。
3.4纵向加密装置认证
电力专用纵向加密装置有网关模式、透明模式、借用模式、借用1-N模式4种工作模式。其中网关模式利用纵向加密装置作为设备网关,需要修改主站设备和厂站设备的网关地址,对网络结构有较大更改。透明模式指该装置接入后不需要更改主站设备和厂站设备网关地址,只需要纵向加密装置之间做好配置即可。优点是不影响网络结构,发生单机故障时影响节点小;缺点是需要设备数量多,每个业务主机均需要加装1台。借用模式和借用1-N模式相似,纵向加密装置需要借用调度数据网中业务地址或交换机接口地址,再通过Trunk封装方式接入属于不同VLAN的设备。2种模式的差别在于借用模式1个接口只接入1个VLAN标签下的设备;借用1-N模式的1个接口可以接入多个不同VLAN标签设备。
3.5边界防护
电厂需要部署基础网络安全防护设备,以最快速有效的形式抵御绝大部分安全风险,如防火墙、入侵检测、入侵防御设备。随着对安全需求的日益提高,在路由器、交换机等网络设备中也开始集成安全功能模块,对网络安全攻击进行直接防范。
结束语
通过上述分析可以看出,电力调度数据网是电力系统进行数据传输的基本渠道之一。在信息化技术和互联网技术不断发展的情况下,电力系统遭受外部风险攻击的程度随之提升,对供电稳定性造成了严重影响。鉴于这种情况,相关部门及工作人员要将电力调度数据网的安全建设工作摆在首要位置,通过横向隔离和纵向隔离相结合的方式进行系统化防范,最终保证电力系统处于良性的运转状态。
参考文献
[1]任杰,王婷宇.基于电力通信网的电力调度数据网安全传输[J].科技风,2019(36):176.
[2]赵其洪.电力调度数据网安全技术及其应用[J].中国新通信,2019,21(24):114.
[3]林承勋.浅析电力调度数据网安全防护设计与实现[J].通讯世界,2019,26(07):209-210.
[4]田春林.电力调度数据网安全技术及其应用[J].现代工业经济和信息化,2018,8(16):77-78.
[5]胡鑫,陈信,江海敏.电力调度数据网网络安全防护技术研究[J].自动化技术与应用,2018,37(05):20-23.